@ BUNDESREPUBLIK 
DEUTSCHLAND 




® Offenlegungsschrift 
®DE 19840742 A1 



(S) Int. a7: 

H04Q7/38 

H 04 L 9/32 
H 04 B 7/00 



DEUTSCHES 
PATENT- UND 
MARKENAMT 



(§) Aktenzeichen: 
(g) Anmeldetag: 
(§) Offenlegungstag: 



19840 742.4 
7. 9.1998 
9. 3.2000 



< 

CM 



00 

ui 

o 



(g) Anmelder: 

DeTeMobil Deutsche Telekom MobilNet GmbH, 
53227 Bonn, DE 



(g) Erfinder: 

Hake, Jens, Dipl.-lng., 09240 Kemtau, DE; Thelen, 
Jorg, DipL-lng., 53227 Bonn, DE 



Die f olgenden Angaben sind dan vom Anmelder eingereichten Unterlagen entnommen 

Prufungsantrag gem. § 44 PatG ist gestellt 

(g) Verfahren zur Erhohung der Sicherhelt von Authentisierungsverfahren in digitalen Mobilfunksystemen 

@ Die Erfindung betrifft ein Verfahren zur Erhohung der 
Sicherheit von Authentisierungsverfahren in digitalen 
Mobilfunksystemen. Um ein Ausspahen des geheimen 
Schlussels Kl zu erschweren bzw. nahezu unmogttch zu 
machen, wird vorgechlagen, dass im Mobllfunknetz und 
auf einem Teilnehmeridentitatsmodul mehrere verschie- 
den geheime, SIM-spezifische SchlOssel Kl vorgehalten 
werden, und bei der Authentisierung zwischen dem Teil- 
nehmeridentitatsmodul und dem Mobilfunknetz von der 
SIM aus den mehreren vorgehaltenen geheimen Schliis- 
seln ein SchlOssel Kl fur die Durchfuhrung der Authenti- 
sierung ausgewihlt wird. 
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Beschreibung 

Die EiSndang bdriBt tto -fcrfsten 2uc ErhOhung der SichcHicU von AulheolBteningsvoMuen in digltafeii MobU- 

TSlnehmSctentitatsmodul (SIM) gespeichertcn Daten und Funkdonen gisgenUber dem Mobilfiinknetz auttenUfizieren. 
S Sr vlgangenheit Li^ gezeigt. dass das Kompiomitieien von Authentisiemngsverfahren d _h. 

A^pTe^^^^ gfheimen SchlUssels KI des Teilnehmers mit entspicchendem Fachwissen ^J^^^^''!^^ 
sc^aftrLglichisuindemFolgenvondenbeiderAuthentisierungverwendetenZufd^ 

RAND/SRES-Paaren. in grosser Anzahl mathematischen Verfahren unterzogen werden. urn den 8«hem«n Sdilt^^ 

undt nem SIM-spezifischen. geheimen SchlUssel KI aus einem Zufallswert BAND e.n «nUs.emngse^^SW^ 
und einen tempcwaren SchlOs^l KC. Dabei halt das Mobilfunknetz cine besUmmte Anzahl von RAND/SRES/KC-'fti- 
X-^.S^s'SSfdlnehmcrdnbuchcn.scndetdasMobU^^^^ 

Ltsmo^ul SIM. Die SIM ermittelt mit dem gleichen. spezieUen Algonthmus und semem J^^^^Pf .^^^l'^^^^^^^ 
SchlUssel KI ein dazugehoiendes SRES/KC-Paar und sendet die ermittelte SRES zuruck an das MobilfiinkneU. Das Mo- 
bilZtaetz vereleichfdie empfangene SRES mit der votgehaltenen SRES auf tJbereinstimmung wobei bei Oberem- 
si^X der TeSi^r ^ Der auf teidcn Seiten betechnete SchffisselKC wird auf beiden Seiten 

" ^"^fgfiSsCitti'Ss::^^^^^^ 

''^SSrSnTn^S'S'^^^^^^^^ 

thentisieningsverfahren in digiulen Mobilfiinksystemen vorzuschlagen, dutch welches das Ausspahen des geheimen 
30 Schlussels nahezu unmoglich wild. 

rSese Aufsabe wird durch die kennzeichnenden Merkmale des Patentanspruchs 1 gelost j„ 
SriifindLg beruht nOn darauf. dass im Mobilfunknetz und auf dem TfeitoehmeridenUlatsmodul 

geheime. SIM-spezifische SchlUssel KI vorgehalten werden. und beid«AuA^^^^ 

modul und MobiUunknetz aus den mehrercn vorgehaltenen geheimen Schliisseln em Schlussel fOr die DurchfUhrung der 

" ^tr^SrSSLtli^ darin. dass ein Kompromitieren, d. h^ ein ^rC'^^'^r^'^Z^^lS^ 
der SIM wesentlich erschwert wird. da fur den Angreifer nicht vorhersehbar und mcht eikennbar ist, welcher gehemie 
SchlUssel KI von der SIM zur Errechnung der SRES-Antwort verwendet wurde ^, ^ . . vr„w:,fi,„w„^„„, 
Weiterer wesentlicher Vorteil dieses Verfahiens ist, dass eine Anderung den 5><=*^™''«'^»l%J;„JSe„^o™^^ 

40 insbesondere der Luftschnittstelle. nicht erforderUch ist, und ebenso kerne Anderungen an den Endgeraten vo jenom 
men werden mussen. Es sind lediglich lokale softwaretechnische Ariderungen an N^'J^X^^ 
bilfunknetzes sowie auf der SIM erforderlich, die mit geringem Aufwand und nahezu ohne zusatzhche Kosten durch 

^"SSie Weiterbildungen und Ausfuhrungsformen der Erfindung sind in den abhangigen PatentansprUchen ange- 

^*\torUilhafterfolgt die AuswaW des verwendetenSchiasselsKI durch die SIM n«^^ 

^Sbev^zultenAusrahningermitteltdasMobilto^ 
Zufallszahl RAND fUr alle SIM-spezifischen SchlOssel KI eines Tfeilnehroers «in SRES/KC-Paar "^^J^ JJ^' ™' 
weils verwendeten RAND die sogenamiten RAND/SRES/KC-THplets. Diese TtapleU werden im Mobilfunknetz vorge- 
50 halten und sind fiir zukunftige Authentisierungsprozeduren abrufbar. ^ d .mo TMnlets an das 

Zur Initiierung einer Authentisierung sendet das Mobilfbnknetz «nen Zf .JJS^Z S)dS^vS£ 
Teilnehmer-Identitatsmodul SIM, wobei das Teilnehmeridentitatsm«lul anhand der UtermUttten 
baren Schlussel auswahlt und anhand dieses ausgewahlten Schlussels KI die zugehongen \Sfertc filr die Antwort SRES 
und den SchlUssel KC berechnet und die Antwort SRES an das Mobilfunknetz zurUcksendrt ^uen fiir den 

55 Im Mobilfunknetz findet nun ein Vetgleich auf Obereinstimmung der empfangenen Antwort SRES ™« fj^^^ 
verwendeten RAND vorgehaltenen SRES-Wertcn statt. wobei wenn erne tJbeieinstimmung zwischen zwei teilnehmer 
spezifischen Antworten SRES vorUegt der Tdlnehmer als authenUsiert gilt. . „ rr^ \ferschlusselune 

Vbrteilhaft wird das Mobilfunknetz nun den zu den Uberemstimmender, SRES gehorenden KC zur J^^? "^^ ""8 
der Obertragung verwenden. wobei der identische SchlUssel KC in der SIM vorhegt und auch dort zur \ferschiasselung 

%^h^rd'JretfAust?ningsbeispie.derE^^^^^^ 

aus der Zeichnung und der zugehQrigen Beschreibung weitere Merkmale "°d\forteile der Erfindung tovon 

Fig. 1 zeigl in veieinfachter DarsteUung eine AudientisierungspKaedur nach dem «fi"*»»"f S^n^*" ^^"„J^ 
DurchfUhrung des Verfahrens mUssen fur jeden Teihiehmer im Mobilfunknetz als auch auf der teilnehmerspezifischen 
65 SIM mehreregehdme SchlUssel Klabgelegtsein. 
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Wie die obenstehende labile zeigt sind im MSbilfunknetz fiir jeden '^^^'^^'f ^^^^J^^^^. 2 S 

Schlusscl KI abgelegt, wobei nun das Mobilfunknetz unter \forgabe von mehrercn Zufalkzahlen I^„J: J;^?,'^'* 
RAND 3 die fur jeweils die geheimen Schlflssel KI 1 , KI 2 und KI 3 zugehOrigen SRES-Antworten und SchlUssel KC be- 

■^Sm -SlSSdentitatsmoduI fiir den Teilnehmer X sind die drei moglichen SchlUssel KIl . KI 2 und KI 3 ab- 

^''wiU sich der Teilnehmer X nun im Mobilfunknetz einbuchen. so muss zunSchst ««« AuthenM^erungsproodi^ 
gefUhrt werden. wie sie in Fig. 1 angedeutet ist Dazu sendet das TeilnehmendenUtatsmoduUjber em e„tsprechend« 
Ldgetat zunachst die Teilnehmeridentitatsnummer IMSI an das Mobilfunknetz Wird di^e B4SI als ^^f^^^^^ 
dann wahlt das Mobilfiinknetz aus den fur den Tfeilnehmer X votgehaltenen Zufallswerten RAND einen Zuf a^lswer^ hier 
beispielsweise RAND 3. aus und sendet diesen zuriick an das Teilnehmerid«.titatsmoduI. Das T"l«ehmendentmum<> 
dul wahlt wiederum einen der teilnehme«pezifischcn. geheimen Schlussel H aus. beispieUweise 2 '^nd b^echnet 
aus der vom Mobilfunknetz ethaltenen RAND 3 und dem KI 2 die zugehOnge SREJ-Antwort ""t**^"!* « m^?^ Sn^z 
SRES- Antwort, die aus dem SchlUssel KI 2 und der RAND 3 gebildet wurde. wird wi«ler zuruck an das Mobi^unkneU 
gesendet und dort mil dem votgehaltenen SRES-Wert fBr KI 2 und RAND 3 verghchen. idmmen ^^^^JJJ-^e^ 
Uberein. so gilt der Tfeilnehmer als authentisiert und kann sich in das Mobilfuntactz «nbuchen. Der auf bei^n &c ten 
vorliegende SchlUssel KC wird wShiend der neu heigestellten Verbindung zur VferscMUsselung der DatenUbertragung 
verwendeL 

PatentansprUche 

1 Verfahren zur Erhdhung der Sicherheit von Authentisieningsverfahren in digitalen MobUfijnksystemen. da- 
duich Kekeimzeicluiet. daB im Mobilfunknetz und auf einem Tfeilnehmeridentitatsmodul (SIM) mehra-e verschie- 
dene geheime. SIM-spezifische SchlUssel (KI) voigehalten werden. und bei der Authennsierung zwi«:hen Tfeilneh- 
meridentitatsmodul und Mobilfunknetz von der SIM aus den mehreren. votgehaltenen gehemwn Schlusseln em 
Schlussel (KDfUr die Durchfuhrung der AuthentisierungausgewahU wird. , ,io. TWin^i. 

2. Verfahren nach Anspruch 1. daduich gekennzcichneU daB die Auswahl des Schlussels (KD durch das Tfeilneh- 
meridentitatsmodul SIM nach dem Zufallsprinzip erfolgt ^..^ . . .. • ll„„ Alo^-^thoiPn 

3. Verfahren nach Ansptuch 1 Oder 2, dadurch gek«nn^i<=taet. <M <te Mobimmknetz^^^^ 

unter Vorgabe einer ZufaUszahl (RAND) filr alle SIM-spezifischen SchlUssel (KI) cin SRES/KC-Paar ernnttelt. die 
tnit dem jeweiMgen RAND RAND/SRES/KC-TWpletsbilden. i, AMr»«!T»B«j/Kr T>i- 

4. Vferfahren na!h einem der Anspriiche 1 bis 3. dadurch gekennzeichnet, daB die gebildeten RAND/SRES/KC-Th- 
plets im Mobilfunknetz votgehalten werden. T™t55*nino 

5. Verfahren nach einem der AnsprUche 1 bis 4. dadurch gekennzeichnet. daB vom Mobilfunlmetz zur Imtiierung 
einer Authentisiening ein RAND eines dieser Triplets an das Tfeilnehmeridentitatsmodul gesendet wxrA 

6. Vferfahren nach eLm der AnsprUche 1 bis 5. dadurch gekennz^chnet. daB das ^'1°<*^"<S^^^^*^'J Z- 
hand der Obermittelten RAND und dem ausgewShlten SchlUssel (KI) die zugehongen Werte fur SRES und KC be 
rechnet. und die Mmitlelte Antwort an das Mobilfiinknete sendet „:„ vbroWh auf 

7. Verfahren nach einem der Anspriiche 1 bis 6. dadurch gekennzeichnet. ^ >5 Mobilfunknete auf 
Obereinstimmung der empfangenen SRES mit alien fiir den verw«.deten RAND ;?'S!^2f^" 

8. Verfahren nach dnem der AnsprUche 1 bis 7. daduich gekennzeichnet. daB das Mobilfunknetzund die SIM den 
zu dem Ubereinstimmenden SRES gehorenden KC zur Verschlflsselung der Obertragung verwendeL 

Hierzu 1 Seite(n) Zeichnungen 
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ASSIGNMENT 

Hereby it is confirmed that 
the right 

for Finland to the following 

□ invention 

□ priority 

□ patent application 

□ patent 

□ utility model 
application 

□ utility model 

□ trademaric application 

□ trademark 

□ design 

namely 



UBERTRAGUNG 
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Nokia Mobile Phones Ltd:lle 
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